SSL连接并非完全问题解决

最新推荐文章于 2025-07-06 18:09:21 发布
最新推荐文章于 2025-07-06 18:09:21 发布
阅读量392 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 大数据 人工智能
原文链接:https://segmentfault.com/a/1190000016215268

教程所示图片使用的是 github 仓库图片,网速过慢的朋友请移步>>> (原文)SSL 连接并非完全安全问题解决

更多讨论或者错误提交,也请移步。

最近拿到了 TrustAsia 签发的 SSL 证书,在 Nginx 的环境下上了证书。猛然间发现: 友链界面没有绿锁。走了不少弯路解决了问题,特此记录下。

1. 问题再现

在首页等其他页面,页面地址栏前是有绿锁的。但是,一旦进入了友链界面,发现绿锁消失了,取而代之的是,一个感叹号。情况如下面这张图所示:

然后,进入其他页面,之前的绿锁也变成了感叹号。

2. 问题排查

最开始没有仔细观察感叹号的信息,以为是 SSL 证书没有上到位。仔细检查了 Nginx 的配置之后,确定了证书配置是没有错误的。

然后,又开始怀疑是不是没有让http强制跳转https。毕竟 Nginx 的配置是个大难题,但发现不论怎么强制跳转,均是有感叹号出现,遂排除。

最后,鬼使神差的看了信息:您与此网站的链接并非完全安全

显然, SSL证书配置和强制跳转 https配置都是正确的。错误应该是: 访问了http的静态资源

3. 解决

打开控制台,直接Ctrl + F搜索http。发现一张友链的头像地址,是http资源。

在数据库将资源替换成https资源即可,期待的绿锁又回来了。

欢迎入群:_857989948_ 。IT 技术深度交流和分享,涉及方面包括但不限于:网站制作、运营、UI 设计、算法分析、大数据、人工智能等。本群主打有深度、有态度的技术交流,欢迎热衷记录知识的您的加入。

宝塔版面申请ssl超时,如何解决
**My Coding Family**
05-11 967
🏆 本文收录于《全栈Bug调优(实战版)》专栏,致力于分享我在项目实战过程中遇到的各类Bug及其原因,并提供切实有效的解决方案。无论你是初学者还是经验丰富的开发者,本文将为你指引出一条更高效的Bug修复之路,助你早日登顶,迈向财富自由的梦想🚀!同时,欢迎大家关注、收藏、订阅本专栏,更多精彩内容正在持续更新中。让我们一起进步,Up!Up!Up!    备注: 部分问题/难题源自互联网,经过精心筛选和整理,结合数位十多年大厂实战经验资深大佬经验总结所得,数条可行方案供所需之人参考。
Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 1186
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
SSL 连接工具
01-09
SSL 连接工具
你与网站建立的链接并非完全安全?建议全站开启https
陶小桃Blog
08-07 2047
新手站长即便安装了,可能在用谷歌浏览器打开网站有个灰色警告,提示“您与此网站之间建立的连接并非完全安全”,甚至有人会出现红色警告“不安全”,提示“您与此网站之间建立的连接安全”,出现这种情况的原因每个人的都可能不一样,因此我们需要提供这类问题的通用方法,而不是针对某一种原因的具体方法。...
您与此网站建立的连接并非完全安全
hedeqiang
01-24 1124
刚搭建的 HTTPS 协议,还没有过一天 在浏览器中访问就会出现 您与此网站建立的链接并非安全 刚开始我以为证书有问题,然后就重新更换了下证书,但是发现然而并没什么卵用,百思不得其解,然后 F12 查看了下,然后就找到原因了 很明显说是 网站启用 HTTPS 协议,但是里面有些内容还是采用的 H...
"您与此网站之间建立的连接并非完全安全" ????
热门推荐
全栈空间
02-11 1万+
有时候即使SSL证书有效, Chrome还是显示"并非完全安全"
解决安装SSL后,通过https访问出现“您与此网站建立的链接并非完全安全”提示的问题
瓦刀
02-25 5515
之前安装SSL并配置https访问之后,通过谷歌等浏览器访问出现这个提示: 原因是我们的页面存在一些不安全的http请求,比如图片、js等静态文件。 我们只需要将其升级为https请求即可。 页面的head中加入: <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">...
SSL 常见问题
qq2224949439的博客
05-30 634
1 .最近COMODO(SECTIGO) SSL公告 由于SSL证书行业规则调整,自2020年9月1日起,SSL证书一次性最多只能签发1年,您可以一次性采购多年,证书每年签发一次,感谢理解! 2 .什么是SSL证书 全球每天有数以万计的网站进行数据传输。其中,很多数据包含个人敏感信息或重要商业机密信息。如何保证这些数据的传输安全呢? SSL证书就是利用Web服务器与浏览器以及客户端之间建立加密链接的加密技术,通过配置和应用SSL证书来启用HTTPS协议,来...
visual studio连接SQL server 提示检索服务器版本失败...如何解决
**My Coding Family**
07-06 999
🏆本文收录于 《全栈Bug调优(实战版)》 专栏,该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因,并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者,还是拥有多年项目经验的资深工程师,本专栏都将为你提供一条系统化、高质量的问题排查与优化路径,助力你加速成长,攻克技术壁垒,迈向技术价值最大化与职业发展的更高峰🚀!
SSL连接建立过程分析
06-18
SSL连接建立过程分析 包括应用程序接口和SSL实现过程分析 非常详细
“您与此网站之间建立的连接并非完全安全”的解决方法
liliqing1的博客
01-16 3510
您与此网站之间建立的连接安全,打不开网址,有些官网也打不开
SSL 连接
weixin_41812346的博客
02-16 609
SSL/TLS 协议位于应用层和传输层之间,通常运行在 TCP 之上。SSL 是一种协议,最初由 Netscape 开发,后来被 TLS(Transport Layer Security)协议所取代。尽管名称不同,TLS 可以看作是 SSL 的继任者,因此在实际使用中,"SSL" 和 "TLS" 常常被互换使用。由此可见,SSL/TLS 是在传输层的基础上增加了一层安全机制,而不是直接替代传输层或应用层。SSL/TLS 连接的核心是握手过程,它负责协商加密参数并验证身份。SSL/TLS 位于。
SSL连接是什么?
蔚可云的博客
11-18 3135
SSL就像驾照和营业执照这样的电子证书的副本,在网站中对机密文件有保密作用。SSL证书的主要作用是为用户和服务器提供认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性。SSL原理是密钥协商过程——TLS握手。SSL原理是更好的保护数据传输安全。现在市面上的商业SSL证书动辄几千元,少则也需要好几百。现在很多人都在申请SSL证书。下面我们重点介绍下MySQL SSL加密连接。 MySQL SSL的背景 当使用非加密方式SSL连接MySQL数据库时,在网络中传输的所有信息都是
用openssl进行SSL编程
愛ある限り 鎧のままに
10-28 1459
主要介绍openssl进行SSL通信的一些函数以及过程,主要是初始化过程,至于数据的接收以及后续处理可以具体问题具体分析。  load所有的SSL算法 OpenSSL_add_ssl_algorithms(); 建立SSL所用的method SSL_METHOD *meth=SSLv23_method(); 初始化上下文情景 SSL_CTX *ctx=SSL_CTX_new(meth); ret-
10.2 SSL 连接与加密通信
Python老吕的博客
09-23 1122
通过这些步骤,可以为 PostgreSQL 数据库启用 SSL 连接,从而保护数据在客户端和服务器之间的传输过程中的安全。通过这些步骤,可以确保 PostgreSQL 数据库的 SSL 支持得到正确配置和使用,从而提高数据传输的安全性。通过这些方法,可以在确保数据传输安全的同时,最小化 SSL 加密对性能的影响,实现安全性与性能的平衡。在使用 SSL/TLS 协议保护数据传输安全时,可能会遇到一些常见的问题。通过理解SSL和TLS的基本概念及其在数据库通信中的作用,可以更好地保护数据库系统的安全性。
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 686
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
SSL 连接过程详解
Mark
08-14 7651
1、SSL 简介 SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层与应用层之间对网络连接进行加密。 在标准的 HTTP 协议下,客户端与服务端直接通过 TCP 链接,以明文的形式交换数据,这样做其实在传输一些普通网页数据时并没什么问题,但是如果用户在浏览网页中,需要向服务端发送用户名、密码、银行卡号之类的敏感信息的话,我们...
解决客户端和服务器不支持一般SSL协议版本
mumanquan1的博客
08-14 4455
解决办法:
SSL routines:ssl3_get_record:wrong version number:../deps/openssl/openssl/ssl/record/ssl3_record.c:332:
最新发布
07-11
<think>嗯,用户遇到了OpenSSL的"ssl3_get_record: wrong version number"错误,需要分析原因和解决方案。这个错误通常发生在SSL/TLS握手阶段,表明客户端和服务器在协议版本上出现了不匹配。 用户可能是系统管理员或开发人员,正在调试网络连接问题。从错误信息看,ta应该有一定的技术背景,但可能对SSL/TLS协议细节不够熟悉。用户情绪可能有些焦虑,因为这类错误会直接影响服务可用性。 首先需要拆解这个错误的核心原因。最典型的情况是客户端尝试用TLS协议连接SSL端口,比如HTTP端口。比如用户可能在代码里配置了TLS连接,但目标端口却是80而不是443。不过这只是可能性之一,需要全面分析。 接着考虑协议版本兼容性问题。如果服务器只支持老旧的SSLv3,而客户端禁用该协议,或者反过来服务器要求TLS1.3而客户端太旧,都会导致版本不匹配。另外中间件配置错误也不容忽视,比如Nginx的listen指令缺少ssl参数。 排查方法要分层次进行。先用telnet/netcat验证端口是否开放,再用openssl s_client分协议版本测试。特别要注意客户端日志,因为错误信息可能更详细。对于Java应用,要检查JVM的TLS版本支持范围。 解决方案方面,端口修正和协议配置是最常见的。但也要提醒用户注意证书有效性,以及防火墙对SSL流量的干扰。最后建议使用Wireshark抓包分析,这是定位协议问题的终极手段。 用户可能还需要后续指导,比如如何具体修改Nginx配置或调整Java安全策略。可以准备相关示例代码,但当前回复已包含核心解决方案。如果用户需要更具体的操作步骤,可以在后续对话中补充。</think>"ssl3_get_record: wrong version number" 错误表明 OpenSSL 库在尝试建立 SSL/TLS 连接时,接收到的数据不符合预期的协议版本格式。这通常发生在通信双方协议版本不匹配或连接目标并非真正的 SSL/TLS 服务时。以下是主要原因和解决方案: ## 📍 核心原因分析 1. **连接到非 SSL/TLS 端口:** 最常见原因。客户端试图在非 SSL/TLS 端口(如默认 HTTP 端口 80)上建立加密连接。 * *示例:* `openssl s_client -connect example.com:80` 会触发此错误。 2. **协议版本不匹配:** 客户端和服务器支持的 SSL/TLS 版本范围没有交集。 * 服务器可能只支持老旧/不安全的协议(如 SSLv3),而客户端已禁用这些协议。 * 服务器要求较新协议(如 TLSv1.3),而客户端太旧不支持。 3. **服务器配置错误:** Web 服务器(如 Nginx, Apache)未正确配置监听端口的 SSL/TLS 支持。 * *示例:* Nginx 配置中 `listen 443;` 缺少 `ssl` 参数。 4. **中间设备干扰:** 防火墙、代理、负载均衡器或 WAF 可能拦截或修改了流量,导致初始握手数据包异常。 5. **客户端库/应用配置错误:** 应用程序代码或客户端库(如 Python 的 `requests`, `urllib`)错误地指定了协议版本或端口。 6. **证书问题(间接):** 严重证书错误有时会导致连接终止在握手早期,可能伴随此错误。 7. **网络问题:** 极少数情况下,数据包损坏或路由问题导致接收错误数据。 ## 🔍 诊断与解决方案 ### 🛠 1. 检查端口和目标服务 * **确认端口:** 确保客户端连接的是服务器的 **正确 SSL/TLS 端口** (通常是 443)。检查代码、命令行或应用配置中的端口号。 * **验证服务:** 使用 `telnet` 或 `netcat` (`nc`) 测试目标端口是否开放并响应: ```bash telnet example.com 443 # 或 nc -v example.com 443 ``` * 如果连接成功,尝试输入 `GET / HTTP/1.0` 后按两次回车。如果返回的是 HTTP 响应头或 HTML,说明 **该端口运行的是普通 HTTP 服务,不是 HTTPS**。你需要连接正确的 HTTPS 端口或确保该端口配置了 SSL/TLS。 * 如果连接失败或被拒绝,检查服务器防火墙、服务是否运行、监听地址是否正确。 ### 🧪 2. 使用 `openssl s_client` 诊断 * **基本测试 (指定端口):** ```bash openssl s_client -connect example.com:443 ``` * 如果成功,会显示详细的证书链和会话信息。按 `Ctrl+C` 退出。 * 如果失败并报 `wrong version number`,继续下一步。 * **强制指定协议版本 (测试兼容性):** * 尝试强制使用较新版本 (TLSv1.2, TLSv1.3): ```bash openssl s_client -connect example.com:443 -tls1_2 # 或 openssl s_client -connect example.com:443 -tls1_3 ``` * 尝试强制使用较旧版本 (谨慎,仅用于测试): ```bash openssl s_client -connect example.com:443 -ssl3 # 极度不安全,仅测试! openssl s_client -connect example.com:443 -tls1 openssl s_client -connect example.com:443 -tls1_1 ``` * **结果解读:** * 如果某个特定版本连接成功,说明服务器和客户端之间存在 **协议版本协商问题**。需要调整服务器或客户端支持的协议列表。 * 如果所有版本都失败,且端口确认是 443,则问题更可能出在 **服务器配置** 或 **中间设备**。 ### ⚙ 3. 检查服务器配置 * **Web 服务器配置:** * **Nginx:** 检查 `server` 块中 `listen` 指令是否包含 `ssl` 参数。例如: ```nginx listen 443 ssl; # 正确 # listen 443; # 错误,缺少 ssl 参数会导致此错误! ``` 确保 `ssl_certificate` 和 `ssl_certificate_key` 指令配置正确且文件路径有效。 * **Apache:** 检查 `<VirtualHost *:443>` 块中是否启用了 `SSLEngine on`,并且 `SSLCertificateFile` / `SSLCertificateKeyFile` 配置正确。 * **重启服务:** 修改配置后,务必重启 Web 服务 (`sudo systemctl restart nginx/apache2` 或相应命令)。 * **检查监听端口:** 在服务器上使用 `netstat` 或 `ss` 确认服务是否在预期端口监听: ```bash sudo netstat -tulpn | grep ':443\b' # 或 sudo ss -tulpn | grep ':443\b' ``` 查看监听进程是否是预期的 Web 服务器。 ### 🔧 4. 检查客户端配置/代码 * **确认端口:** 在应用程序代码或脚本中,仔细检查连接目标 URL 或主机名时指定的 **端口号** 是否是 443 (或自定义的 HTTPS 端口)。 * **协议限制:** 检查客户端库或应用是否 **过度限制了允许的协议版本**。例如,Python `requests` 库可以设置: ```python import requests # 允许更广泛的协议范围 (谨慎放宽) response = requests.get('https://example.com', verify=True, ssl_context=requests.packages.urllib3.util.ssl_.create_urllib3_context( ssl_version=ssl.PROTOCOL_TLS # 或更具体的 ssl.PROTOCOL_TLSv1_2 )) ``` * *注意:* 放宽协议限制(如允许 SSLv3)会带来严重安全风险,仅作为临时诊断或连接老旧系统的手段。 * **库版本:** 确保使用的客户端库(如 OpenSSL 本身、Python `ssl` 模块、`requests`、`curl` 等)是较新的版本,支持主流的 TLS 协议。 ### 🌐 5. 排查中间设备 * **防火墙/代理/WAF:** 检查是否有中间设备(透明代理、WAF、负载均衡器)拦截了 443 端口的流量。它们可能配置错误或自身证书/协议问题导致干扰。 * **抓包分析:** 使用 `tcpdump` (服务器端或客户端) 或 **Wireshark** 抓取连接尝试的网络包。这是最有力的诊断工具: 1. 在客户端或服务器启动抓包:`sudo tcpdump -i any port 443 -w capture.pcap` 2. 重现错误。 3. 停止抓包,用 Wireshark 分析 `capture.pcap`。 * **重点查看:** * 客户端的 `Client Hello` 消息:它声明了支持的协议版本。 * 服务器的响应:第一个数据包应该包含 `Server Hello`。如果服务器返回的是非 TLS 数据(如 HTTP 响应、RST 包、ICMP 错误)或格式完全错误的包,就能定位问题根源(是服务器问题还是中间设备篡改/拦截)。 ### 🔐 6. 检查证书(辅助) * 虽然证书问题通常导致不同的错误(如 `certificate verify failed`),但有时在非常早期的阶段失败也可能引发此错误。确保服务器证书有效、未过期、域名匹配,且证书链完整。 ## 📌 总结步骤 (优先尝试) 1. **✅ 绝对优先检查端口:** 确认你连接的是 **443** 端口 (或服务器配置的自定义 HTTPS 端口)。这是最常见的原因。 2. **✅ 使用 `openssl s_client -connect host:443` 测试基础连接。** 3. **✅ 检查服务器配置:** 确认 Web 服务器 (Nginx/Apache) 在监听端口上 **明确启用了 SSL/TLS** (如 Nginx 的 `listen 443 ssl;`)。 4. **✅ 抓包分析:** 如果以上步骤无法定位问题,**使用 tcpdump/Wireshark 抓包分析** 客户端发送的第一个包和服务器返回的第一个包,这是揭示真相的关键。 ## 📚 相关问题 1. **如何查看服务器支持的 TLS 协议版本列表?** * 使用 `openssl s_client` 结合 `-msg` 或 `-debug` 选项查看握手细节,或使用 `nmap --script ssl-enum-ciphers` 扫描。 2. **如何在 Nginx/Apache 中禁用不安全的 TLS 版本(如 SSLv3, TLSv1.0)?** * Nginx 通过 `ssl_protocols` 指令 (如 `ssl_protocols TLSv1.2 TLSv1.3;`),Apache 通过 `SSLProtocol` 指令配置。 3. **`curl` 遇到 `SSL_ERROR_SSL` 或类似错误时如何调试?** * 使用 `curl -v https://example.com` 查看详细输出,使用 `--tlsv1.2` / `--tlsv1.3` 指定版本,或 `--insecure` (仅测试) 忽略证书错误。 4. **为什么升级 OpenSSL 库后某些旧客户端无法连接?** * 新版本 OpenSSL 可能默认禁用了老旧或不安全的协议(如 TLSv1.0/1.1, SSLv3)。需要检查服务器配置是否仍支持这些客户端需要的协议。 5. **如何诊断和修复由中间代理引起的 SSL/TLS 连接问题?** * 需要分别抓取客户端到代理、代理到服务器的流量,比较两者差异,检查代理配置是否正确终止和发起 TLS 连接
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值